SİBER GÜVENLİK RİSKLERİNDEN KORUNMADA KÖPRÜ VE KATALİZÖR OLARAK İÇ DENETİM

Yıl 2019, Sayı: 19, 5 - 16, 14.06.2019

Seval Selimoğlu , Mehtap Altunel

Öz

Günümüz iş ortamına bakıldığında hem kamu hem de özel sektörde işlemlerin gerçekleştirilmesi için dijital alt yapıya sahip oldukları ve bu kapsamda bilginin depolanması, işlemlerin yapılması ve raporlamanın elektronik ortamda gerçekleştiği görülmektedir. Bu dijital alt yapı internet, bilgisayar sistemi, yazılım, donanım ve hizmetler yani dijital ortamın tamamısiber alan olarak ifade edilmektedir. Bu alt yapının faaliyetlerin gerçekleştirilmesinde fırsatlar sağlamanın yanında büyük tehdit ve riskleri de beraberinde getirmektedir. Yakın zamanda yaşanan önemli siber saldırılar (WannaCry, BadRabbit, NotPetra vb.) göz önünde bulundurulduğunda ciddi zararlara ve maliyetlere sebep olmuştur. Bu kapsamda hem özel sektörde hem de kamu sektöründe siber saldırılara karşı önlemlerin alınması ve etkilerinin azaltılması önemlidir. Bu kapsamda üçlü savunma hattının siber riskleri kapsayacak şekilde tasarlanması ve iç denetim biriminin siber güvenlik risklerine yönelik çalışmalar yürütmesi, siber güvenlik risklerinin azaltılmasında etkili olacaktır. Bu çalışmada siber riskler ve siber risklerin yönetilmesine ilişkin bilgi verilmekle birlikte, siber güvenliğin sağlamasında iç denetimin rolü ortaya konulmaya çalışılmıştır.

Anahtar Kelimeler

Siber Risk, Siber Güvenlik, Üçlü Savunma Hattı, İç Denetim

INTERNAL AUDIT AS A BRIDGE AND CATALYST IN THE PROTECTION OF CYBER SECURITY RISKS

Öz

When we look at today’s business environment, it is seen that they have digital infrastructure for the realization of transactions in both public and private sectors and in this context, information storage, transactions and reporting are realized in electronic environment. This digital infrastructure is expressed as the internet, computer system, software, hardware and services. In addition to providing opportunities for the realization of these activities, this infrastructure brings with it great threats and risks. Considering the recent cyber attacks (WannaCry, BadRabbit, NotPetra, etc.), it has caused serious damages and costs. In this context, it is important to take measures against cyber attacks in both the private and public sectors and to reduce their impact.Therefore, the design of the three lines of defense covering cyber risks and the internal audit unit’s work on cyber security risks will be effective in reducing cyber security risks. In this study, information is given on the management of cyber risks and cyber risks, but the role of internal audit in providing cyber security is tried to be explained.

Anahtar Kelimeler

Cyber Risks, Cyber Security, The Three Lines of Defense Model, Internal Audit

Kaynakça

• American Accounting Association. (2017). Cybersecurity and Continuous Assurance. Journal Of Emergıng Technologıes In Accountıng , 1-12.
• Aslay, F. (2017). Siber Saldırı Yöntemleri ve Türkiye’nin Siber Güvenlik Mevcut Durum Analizi. International Journal of Multidisciplinary Studies and Innovative Technologies , 24-28.
• Burca, N. (2017, Aralık 29). 2017 Siber Saldırıları 2018 Beklentileri ve İç Kontroller. Mart 5, 2019 tarihinde https://nazifburca.com adresinden alındı
• Burca, N. (2017, Haziran 3). İç Kontrolleriniz Etkin Mi? «WannaCry» Siber Saldırısında Sorumluluk Kime Ait? Mart 5,2019 tarihinde https://nazifburca.com adresinden alındı
• Burca, N. (2017, Ekim 25). Yeni Bir Siber Saldırı: BadRabbit. Mart 2019 tarihinde https://nazifburca.com adresinden alındı.
• COSO. (2015). COSO in the​​ ​​Cyber Age: Report Offers Guidance on Using Frameworks to Assess Cyber Risks. Davenport, T., & Amjad, A. (2016). The Future Of Cybersecurity. Mart 8, 2019 tarihinde Deloitte Insight: ttps://www2.deloitte.com adresinden alındı.
• Efe, A. (2018). Siber Güvenlik Denetimi. Ş. Sağıroğlu, & M. Alkan içinde, SiBer Güvenlik ve Savunma-Farkındalık ve Caydırma (s. 349-370). Ankara: Grafiker Yayıncılık.
• Erdemir Grubu. (2015, Mayıs 9). İç Denetim Sistemi. Mart 7, 2019 tarihinde https://slideplayer.biz.tr/slide/4870511/ adresinden alındı.
• Erol, S. E., & Sağıroğlu, Ş. (2018). Siber Güvenlik Farkındalığı, Önemi Ve Yapılması Gerekenler. Ş. Sağıroğlu, & M. Alkan içinde, Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık (s. 105-134). Ankara: Grafiker Yayınları.
• IIA. (2016). Assessing Cybersecurity Risk Roles of the Three Lines of Defense. The Institute of Internal Auditors. https://www.aicpa.org.
• IIA. (2018). Global Bakış AÇıları ve Anlayışlar: 2018 Global Risk Raporu-İç Denetim Yöneticilerinin Karşılaştığı En Büyük Riskler. The Institute Of Internal Auditing.
• IIA. (2016). Global Perspektifler ve Anlayışlar: Güvenilir Bir Siber Danışman Olarak İç Denetim. The Institute of Internal Auditors.
• IIA. (2017). Küresel Bakış Açıları ve Anlayışlar Yapay Zeka - İç Denetim Mesleğine İlişkin Dikkate Alınması Gerkenler. The Institute of Internal Auditors.
• ISACA. (2017). Auditing: Cyber Security Evaluating Risk and Auditing Controls.
• Kahyaoglu, S. B., & Caliyurt, K. (2018). Cyber security assurance process from the internal audit perspective. Managerial Auditing Journal, 360-376.
• Kaya, B. (2017, 4 9). 3 10, 2019 tarihinde Şirketlerin Güvence si Üçlü Savunma Hattı: http://bertankaya.net adresinden alındı.
• KPMG. (2016). Denetim Komiteleri İçin Siber Güvenlik.
• KPMG. (2016). GRC Gündemi: Yönetişim, Risk ve Uyumluluğu Anlamak.
• Kumar, V., Srivastava, J., & Lazarevic, A. (2005). Manager CyberThreats Issues, Approaches and Challenges. U.S.A.: Springer.
• Kurt, G., & UysaL, U. T. (2015). Siber Riskler ve COSO İç Kontrol Bütünleşik Çerçevesi. Muhasebe ve Denetime Bakış dergisi , 1-10.
• Mukhopadhyay, A., Chatterjee, S., Saha, D., Mahanti, A., & Sadhukhan, S. K. (2013). Cyber-risk decision models: To insure IT or not? Decision Support Systems , 11-26.
• Ojeka, S. A., Ben-Caleb, E., & Ekpe, E.-O. I. (2017). Cyber Security in the Nigerian Banking Sector: An Appraisal of Audit Committee Effectiveness. International Review of Management and Marketing , 340-346.
• Öztürk, M. S. (2018). Siber Saldırılar, Siber Güvenlik Denetimleri Ve Bütüncül Bir Denetim Modeli Önerisi. Muhasebe ve Vergi Uygulamaları Dergisi, 208-232.
• PWC. (2018). Global Economic Crime and Fraud Survey 2018.
• Sabillon, R., Serra-Ruiz, J., Cavaller, V., & Cano, J. (2017). A Comprehensive Cybersecurity Audit Model to Improve Cybersecurity Assurance: The CyberSecurity Audit Model (CSAM). International Conference on Information Systems and Computer Science, 253-259.
• Sağıroğlu, Ş. (2018). Siber Güvenlik Ve Savunma: Önem, Tanımlar, Unsurlar Ve Önlemler. Ş. Sağıroğlu, & M. Alkan içinde, Siber Güvenlik ve Savunma-Farkındalık ve Caydırıcılık (s. 21-45). Ankara: Grafiker Yayınları.
• Shackelford, S. J. (2012). Should your firm invest in cyber riskinsurance? Business Horizon, 349-356. SPK. (2018). Bilgi Sistemleri Bağımsız Denetim Tebliği. Sermaye Piyasası Kurulu.
• SPK. (2018). Bilgi Sistemleri Yönetimi Tebliği. Sermaye Piyasası Kurulu.
• The Institute of Risk Management. (2014). Cyber Risk Executive Summary.
• Oxford Dictionaries. (1857). Mart 2019, 8 tarihinde https://en.oxforddictionaries.com adresinden alındı.
• Türkiye İç Denetim Enstitüsü. (1994). Mart 2019, 10 tarihinde https://www.tide.org.tr adresinden alındı.